Instagram ha violado la privacidad de sus usuarios al retener personas’ fotos y mensajes directos privados en sus servidores incluso después de que las personas los borraron.
La vulnerabilidad fue descubierta por el investigador Saugat Pokharel cuando descargó sus datos de Instagram el año pasado.. Así es como llegó a descubrir que los datos incluían fotos y mensajes que había eliminado previamente.. El investigador obtuvo una recompensa de $6,000 por plantear este problema a través del programa de recompensas por errores de Instagram.
En una conversación con TechCrunch, Pokharel dijo que Instagram no borró sus datos incluso cuando los borró de su lado. Una vez que se dio cuenta de este problema, lo informó. Esto fue en octubre 2019.
Explicación de la vulnerabilidad de Instagram
El error existía en una función que Instagram agregó nuevamente en 2018 de acuerdo con GDPR. Las regulaciones requerían que las empresas que operan en Europa notifiquen a las autoridades dentro 72 horas de cualquier violación de datos, o enfrentarse a las sanciones económicas. La función GDPR permitió a las personas descargar sus datos de una manera similar a lo que Facebook, la empresa matriz, proporcionado a sus usuarios.
Este no es el primer caso en el que Instagram no cumple con la eliminación de los datos de las personas.. El año pasado, otro investigador, Karan Saini, descubrió que el servicio de intercambio de fotos jept mensajes directos durante años, incluso cuando se borra. Saini también reveló que Instagram envió los datos hacia y desde cuentas que fueron desactivadas o suspendidas..
La buena noticia es que el error descubierto por Pokharel no parece haber sido explotado en la naturaleza..
El año pasado, El investigador de seguridad Laxman Muthiyah descubrió una vulnerabilidad crítica que podría haber permitido a atacantes remotos restablecer la contraseña de las cuentas de Instagram, obteniendo así acceso completo a las cuentas comprometidas. La vulnerabilidad reside en el mecanismo de recuperación de contraseña en la versión móvil de Instagram.
La vulnerabilidad fue reportada a Facebook pero tomó algún tiempo para que el equipo de seguridad de Facebook para reproducir el problema ya que la información en el informe del investigador no fue suficiente. Sin embargo, el video de prueba de concepto los convenció de que su ataque era factible.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: